Implementar uma rede de Perímetro entre o Azure e o seu datacenter no localImplement a DMZ between Azure and your on-premises datacenter

Esta arquitetura de referência mostra uma rede híbrida segura que expande uma rede no local para o Azure.This reference architecture shows a secure hybrid network that extends an on-premises network to Azure. A arquitetura implementa uma rede de perímetro entre a rede no local e uma rede virtual do Azure (VNet).The architecture implements a DMZ, also called a perimeter network, between the on-premises network and an Azure virtual network (VNet). A rede de perímetro inclui aplicações virtuais de rede (NVAs) que implementam funcionalidades de segurança, como firewalls e a inspeção de pacotes.The DMZ includes network virtual appliances (NVAs) that implement security functionality such as firewalls and packet inspection. Todo o tráfego de saída da VNet tem uma imposição de túnel para a Internet através da rede no local para que este possa ser auditado.All outgoing traffic from the VNet is force-tunneled to the Internet through the on-premises network, so that it can be audited. Implementar esta solução.Deploy this solution.

Arquitetura de rede híbrida segura

Transferir um ficheiro do Visio desta arquitetura.Download a Visio file of this architecture.

Esta arquitetura requer uma ligação ao datacenter no local, com um gateway de VPN ou uma ligação ExpressRoute.This architecture requires a connection to your on-premises datacenter, using either a VPN gateway or an ExpressRoute connection. Utilizações típicas desta arquitetura:Typical uses for this architecture include:

  • Aplicações híbridas onde as cargas de trabalho são executadas parcialmente no local e parcialmente no Azure.Hybrid applications where workloads run partly on-premises and partly in Azure.
  • Uma infraestrutura que precisa de um controlo granular sobre o tráfego que entra numa VNet do Azure a partir de um datacenter no local.Infrastructure that requires granular control over traffic entering an Azure VNet from an on-premises datacenter.
  • Aplicações que têm de auditar o tráfego de saída.Applications that must audit outgoing traffic. Frequentemente, é um requisito regulamentar de muitos sistemas comerciais e pode ajudar a impedir a divulgação pública de informações privadas.This is often a regulatory requirement of many commercial systems and can help to prevent public disclosure of private information.

ArquiteturaArchitecture

A arquitetura é composta pelos seguintes componentes.The architecture consists of the following components.

  • Rede no local.On-premises network. Uma rede de área local privada implementada numa organização.A private local-area network implemented in an organization.

  • Rede virtual do Azure (VNet).Azure virtual network (VNet). A VNet aloja a aplicação e outros recursos em execução no Azure.The VNet hosts the application and other resources running in Azure.

  • Gateway.Gateway. O gateway oferece a conectividade entre os routers na rede no local e na VNet.The gateway provides connectivity between the routers in the on-premises network and the VNet.

  • Aplicação virtual de rede (NVA).Network virtual appliance (NVA). NVA é um termo genérico que descreve uma VM a realizar tarefas como permitir ou negar o acesso como a uma firewall, a otimizar operações da área alargada (WAN) operações da rede alargada (incluindo a compressão de rede), encaminhamento personalizado ou outras funcionalidades de rede.NVA is a generic term that describes a VM performing tasks such as allowing or denying access as a firewall, optimizing wide area network (WAN) operations (including network compression), custom routing, or other network functionality.

  • Sub-redes de camada de dados, de camada Web e de camada Business.Web tier, business tier, and data tier subnets. Sub-redes que alojam as VMs e os serviços que implementam uma aplicação de 3 camadas de exemplo em execução na cloud.Subnets hosting the VMs and services that implement an example 3-tier application running in the cloud. Para obter mais informações, veja Executar VMs do Windows para uma arquitetura de N camadas no Azure.See Running Windows VMs for an N-tier architecture on Azure for more information.

  • Rotas definidas pelo utilizador (UDR).User defined routes (UDR). As Rotas definidas pelo utilizador definem o fluxo de tráfego IP nas Azure VNETs.User defined routes define the flow of IP traffic within Azure VNets.

    Nota

    Consoante os requisitos da ligação de VPN, pode configurar rotas BGP (Border Gateway Protocol) em vez de utilizar UDRs para implementar as regras de reencaminhamento que direcionam o tráfego novamente através da rede no local.Depending on the requirements of your VPN connection, you can configure Border Gateway Protocol (BGP) routes instead of using UDRs to implement the forwarding rules that direct traffic back through the on-premises network.

  • Sub-rede de gestão.Management subnet. Esta sub-rede contém VMs que implementam capacidades de gestão e de monitorização para os componentes em execução na VNet.This subnet contains VMs that implement management and monitoring capabilities for the components running in the VNet.

RecomendaçõesRecommendations

As recomendações seguintes aplicam-se à maioria dos cenários.The following recommendations apply for most scenarios. Siga-as, a não ser que tenha requisitos específicos que as anulem.Follow these recommendations unless you have a specific requirement that overrides them.

Recomendações de controlo de acessoAccess control recommendations

Uso [controlo de acesso baseado em funções] rbac (RBAC) para gerir os recursos na sua aplicação.Use Role-Based Access Control (RBAC) to manage the resources in your application. Considere criar as seguintes funções personalizadas:Consider creating the following custom roles:

  • Uma função DevOps com permissões para administrar a infraestrutura da aplicação, implementar os componentes da aplicação e monitorizar e reiniciar as VMs.A DevOps role with permissions to administer the infrastructure for the application, deploy the application components, and monitor and restart VMs.

  • Uma função de administrador de TI centralizada para gerir e monitorizar os recursos de rede.A centralized IT administrator role to manage and monitor network resources.

  • Uma função de administrador de TI de segurança para gerir os recursos de rede seguros, tais como as NVAs.A security IT administrator role to manage secure network resources such as the NVAs.

As funções de administrador de TI e DevOps não devem ter acesso aos recursos das NVAs.The DevOps and IT administrator roles should not have access to the NVA resources. Estas devem ser limitadas à função de administrador de TI de segurança.This should be restricted to the security IT administrator role.

Recomendações para grupos de recursosResource group recommendations

Os recursos do Azure como VMs, VNets e balanceadores de carga podem ser facilmente geridos ao agrupá-los em grupos de recursos.Azure resources such as VMs, VNets, and load balancers can be easily managed by grouping them together into resource groups. Atribua funções RBAC a cada grupo de recursos para restringir o acesso.Assign RBAC roles to each resource group to restrict access.

Recomendamos que crie os seguintes grupos de recursos:We recommend creating the following resource groups:

  • Um grupo de recursos com a VNet (excluindo as VMs), os NSGs e os recursos de gateway para ligar à rede no local.A resource group containing the VNet (excluding the VMs), NSGs, and the gateway resources for connecting to the on-premises network. Atribua a função de administrador de TI centralizada a este grupo de recursos.Assign the centralized IT administrator role to this resource group.
  • Um grupo de recursos com as VMs para as NVAs (incluindo o balanceador de carga), a jumpbox e outras VMs de gestão e o UDR para a sub-rede do gateway que força todo o tráfego através de NVAs.A resource group containing the VMs for the NVAs (including the load balancer), the jumpbox and other management VMs, and the UDR for the gateway subnet that forces all traffic through the NVAs. Atribua a função de administrador de TI de segurança a este grupo de recursos.Assign the security IT administrator role to this resource group.
  • Grupos de recursos separados para cada camada da aplicação com o balanceador de carga e as VMs.Separate resource groups for each application tier that contain the load balancer and VMs. Tenha em atenção que este grupo de recursos não deve incluir as sub-redes de cada camada.Note that this resource group shouldn't include the subnets for each tier. Atribua a função de DevOps a este grupo de recursos.Assign the DevOps role to this resource group.

Recomendações de gateway de rede virtualVirtual network gateway recommendations

O tráfego no local é transmitido para a VNet através de um gateway de rede virtual.On-premises traffic passes to the VNet through a virtual network gateway. Recomendamos um gateway de VPN do Azure ou um gateway do Azure ExpressRoute.We recommend an Azure VPN gateway or an Azure ExpressRoute gateway.

Recomendações das NVAsNVA recommendations

As NVAs proporcionam serviços diferentes para gerir e monitorizar o tráfego de rede.NVAs provide different services for managing and monitoring network traffic. O Azure Marketplace oferece várias NVAs de fornecedores externos que pode utilizar.The Azure Marketplace offers several third-party vendor NVAs that you can use. Se nenhuma destas NVAs de terceiros cumprir os requisitos, pode criar uma NVA personalizado através das VMs.If none of these third-party NVAs meet your requirements, you can create a custom NVA using VMs.

Por exemplo, a implementação da solução para esta arquitetura de referência implementa uma NVA com a seguinte funcionalidade numa VM:For example, the solution deployment for this reference architecture implements an NVA with the following functionality on a VM:

  • O tráfego é encaminhado através do Reencaminhamento IP nas interfaces de rede (NICs) das NVAs.Traffic is routed using IP forwarding on the NVA network interfaces (NICs).
  • A transmissão do tráfego apenas é permitida através da NVA se for apropriada.Traffic is permitted to pass through the NVA only if it is appropriate to do so. Cada VM da NVA na arquitetura de referência é um router Linux simples.Each NVA VM in the reference architecture is a simple Linux router. O tráfego recebido chega à interface de rede eth0 e o tráfego de saída corresponde às regras definidas pelos scripts personalizados emitidos através da interface de rede eth1.Inbound traffic arrives on network interface eth0, and outbound traffic matches rules defined by custom scripts dispatched through network interface eth1.
  • Só podem ser configuradas NVAs na sub-rede de gestão.The NVAs can only be configured from the management subnet.
  • O tráfego encaminhado para a sub-rede de gestão não é transmitido pelas NVAs.Traffic routed to the management subnet does not pass through the NVAs. Caso contrário, se as NVAs falharem, não haverá nenhuma rota para a sub-rede de gestão para as corrigir.Otherwise, if the NVAs fail, there would be no route to the management subnet to fix them.
  • As VMs da NVA são colocadas num conjunto de disponibilidade atrás de um balanceador de carga.The VMs for the NVA are placed in an availability set behind a load balancer. O UDR na sub-rede de gateway direciona os pedidos da NVA para o balanceador de carga.The UDR in the gateway subnet directs NVA requests to the load balancer.

Inclua uma NVA de 7 camadas para terminar ligações de aplicações ao nível da NVA e manter a afinidade com os escalões de back-end.Include a layer-7 NVA to terminate application connections at the NVA level and maintain affinity with the backend tiers. Deste modo, garante uma conectividade simétrica onde o tráfego de resposta das camadas de back-end é devolvido através da NVA.This guarantees symmetric connectivity, in which response traffic from the backend tiers returns through the NVA.

Outra opção a considerar é ligar várias NVAs em série, com cada NVA a realizar uma tarefa de segurança especializada.Another option to consider is connecting multiple NVAs in series, with each NVA performing a specialized security task. Deste modo, permite que cada função de segurança seja gerida numa base por NVA.This allows each security function to be managed on a per-NVA basis. Por exemplo, uma NVA a implementar uma firewall poderia ser colocada em série com uma NVA a executar serviços de identidade.For example, an NVA implementing a firewall could be placed in series with an NVA running identity services. Mas, esta facilidade de gestão implica a adição de saltos de rede extra que poderão aumentar a latência. Assim, verifique se isso não afeta o desempenho da aplicação.The tradeoff for ease of management is the addition of extra network hops that may increase latency, so ensure that this doesn't affect your application's performance.

Recomendações para NSGNSG recommendations

O gateway VPN expõe um endereço IP público para a ligação à rede no local.The VPN gateway exposes a public IP address for the connection to the on-premises network. Recomendamos que crie um grupo de segurança de rede (NSG) para a sub-rede da NVA de entrada, com regras para bloquear todo o tráfego não proveniente da rede no local.We recommend creating a network security group (NSG) for the inbound NVA subnet, with rules to block all traffic not originating from the on-premises network.

Recomendamos também NSGs para cada sub-rede para proporcionar um segundo nível de proteção contra o tráfego de entrada ao ignorar uma NVA desativada ou incorretamente configurada.We also recommend NSGs for each subnet to provide a second level of protection against inbound traffic bypassing an incorrectly configured or disabled NVA. Por exemplo, a sub-rede de camada Web na arquitetura de referência implementa um NSG com uma regra para ignorar todos os pedidos que não tenham sido recebidos da rede no local (192.168.0.0/16) ou da VNet e outra regra para ignorar todos os pedidos não tenham sido feitos na porta 80.For example, the web tier subnet in the reference architecture implements an NSG with a rule to ignore all requests other than those received from the on-premises network (192.168.0.0/16) or the VNet, and another rule that ignores all requests not made on port 80.

Recomendações de acesso à InternetInternet access recommendations

Configure a imposição de túnel em todo o tráfego de Internet de saída através da rede no local com um túnel de Rede de VPNs e encaminhe para a Internet através da tradução de endereços de rede (NAT).Force-tunnel all outbound Internet traffic through your on-premises network using the site-to-site VPN tunnel, and route to the Internet using network address translation (NAT). Deste modo, impede fugas acidentais de informações confidenciais armazenadas na camada de dados e permite a inspeção e auditoria de todo o tráfego de saída.This prevents accidental leakage of any confidential information stored in your data tier and allows inspection and auditing of all outgoing traffic.

Nota

Não bloqueie completamente o tráfego de Internet das camadas da aplicação, pois assim impedirá que estas camadas utilizem os serviços de PaaS do Azure que se baseiam em endereços IP públicos, como o registo de diagnósticos de VMs, a transferência de extensões de VM e outras funcionalidades.Don't completely block Internet traffic from the application tiers, as this will prevent these tiers from using Azure PaaS services that rely on public IP addresses, such as VM diagnostics logging, downloading of VM extensions, and other functionality. O diagnóstico do Azure também requer que os componentes possam ler e escrever numa conta de Armazenamento do Azure.Azure diagnostics also requires that components can read and write to an Azure Storage account.

Verifique se o tráfego de Internet de saída tem uma imposição de túnel correta.Verify that outbound internet traffic is force-tunneled correctly. Se estiver a utilizar uma ligação VPN com o serviço de encaminhamento e acesso remoto num servidor no local, utilize uma ferramenta como o WireShark ou o Microsoft Message Analyzer.If you're using a VPN connection with the routing and remote access service on an on-premises server, use a tool such as WireShark or Microsoft Message Analyzer.

Recomendações relativas à sub-rede de gestãoManagement subnet recommendations

A sub-rede de gestão contém uma jumpbox que realiza funcionalidades de gestão e monitorização.The management subnet contains a jumpbox that performs management and monitoring functionality. Restrinja a execução de todas as tarefas de gestão segura para a jumpbox.Restrict execution of all secure management tasks to the jumpbox.

Não crie nenhum endereço IP público para a jumpbox.Do not create a public IP address for the jumpbox. Em vez disso, crie uma rota para aceder a jumpbox através do gateway de entrada.Instead, create one route to access the jumpbox through the incoming gateway. Crie regras do NSG para que a sub-rede de gestão apenas responda a pedidos da rota permitida.Create NSG rules so the management subnet only responds to requests from the allowed route.

Considerações de escalabilidadeScalability considerations

A arquitetura de referência utiliza um balanceador de carga para direcionar o tráfego de rede no local para um conjunto de dispositivos de NVAs, que encaminham o tráfego.The reference architecture uses a load balancer to direct on-premises network traffic to a pool of NVA devices, which route the traffic. As NVAs são colocadas num conjunto de disponibilidade.The NVAs are placed in an availability set. Esta conceção permite-lhe monitorizar o débito das NVAs ao longo do tempo e adicionar dispositivos de NVAs em resposta a aumentos de carga.This design allows you to monitor the throughput of the NVAs over time and add NVA devices in response to increases in load.

O gateway de VPN do SKU standard suporta um débito constante máximo de 100 Mbps.The standard SKU VPN gateway supports sustained throughput of up to 100 Mbps. O SKU de Elevado Desempenho proporciona até 200 Mbps.The High Performance SKU provides up to 200 Mbps. Para larguras de banda superiores, considere atualizar para um gateway do ExpressRoute.For higher bandwidths, consider upgrading to an ExpressRoute gateway. O ExpressRoute proporciona uma largura de banda máxima de 10 Gbps com uma latência inferior à de uma ligação VPN.ExpressRoute provides up to 10 Gbps bandwidth with lower latency than a VPN connection.

Para obter mais informações sobre a escalabilidade de gateways do Azure, veja a secção de considerações de escalabilidade em Implementar uma arquitetura de rede híbrida com o Azure e a VPN no local e Implementar uma arquitetura de rede híbrida com o Azure ExpressRoute.For more information about the scalability of Azure gateways, see the scalability consideration section in Implementing a hybrid network architecture with Azure and on-premises VPN and Implementing a hybrid network architecture with Azure ExpressRoute.

Considerações de disponibilidadeAvailability considerations

Conforme mencionado, a arquitetura de referência utiliza um conjunto de dispositivos de NVAs atrás de um balanceador de carga.As mentioned, the reference architecture uses a pool of NVA devices behind a load balancer. O balanceador de carga utiliza uma sonda do estado de funcionamento para monitorizar cada NVA e removerá qualquer NVA sem resposta do conjunto.The load balancer uses a health probe to monitor each NVA and will remove any unresponsive NVAs from the pool.

Se estiver a utilizar o Azure ExpressRoute para fornecer conectividade entre a VNet e a rede no local, configure um gateway de VPN para proporcionar uma ativação pós-falha se a ligação do ExpressRoute ficar indisponível.If you're using Azure ExpressRoute to provide connectivity between the VNet and on-premises network, configure a VPN gateway to provide failover if the ExpressRoute connection becomes unavailable.

Para obter informações específicas sobre como manter a disponibilidade para ligações ExpressRoute e de VPN, veja as considerações de disponibilidade em Implementar uma arquitetura de rede híbrida com o Azure e a VPN no local e Implementar uma arquitetura de rede híbrida com o Azure ExpressRoute.For specific information on maintaining availability for VPN and ExpressRoute connections, see the availability considerations in Implementing a hybrid network architecture with Azure and on-premises VPN and Implementing a hybrid network architecture with Azure ExpressRoute.

Considerações sobre a capacidade de gestãoManageability considerations

Toda a monitorização de aplicações e recursos deve ser realizada pela jumpbox na sub-rede de gestão.All application and resource monitoring should be performed by the jumpbox in the management subnet. Dependendo dos requisitos da aplicação, poderá precisar de recursos de monitorização adicionais na sub-rede de gestão.Depending on your application requirements, you may need additional monitoring resources in the management subnet. Se assim for, estes recursos deverão ser acedidos através da jumpbox.If so, these resources should be accessed through the jumpbox.

Se a conectividade do gateway da rede no local para o Azure estiver inativa, ainda poderá estabelecer ligação à jumpbox ao implementar um endereço IP público, ao adicioná-lo à jumpbox e ao estabelecer uma ligação remota a partir da Internet.If gateway connectivity from your on-premises network to Azure is down, you can still reach the jumpbox by deploying a public IP address, adding it to the jumpbox, and remoting in from the internet.

Cada sub-rede da camada na arquitetura de referência está protegida por regras do NSG.Each tier's subnet in the reference architecture is protected by NSG rules. Poderá ter de criar uma regra para abrir a porta 3389 para o acesso do protocolo RDP (Remote Desktop Protocol) em VMs do Windows ou a porta 22 para o acesso de secure shell (SSH) em VMs do Linux.You may need to create a rule to open port 3389 for remote desktop protocol (RDP) access on Windows VMs or port 22 for secure shell (SSH) access on Linux VMs. Outras ferramentas de monitorização e gestão podem precisar de regras para abrir portas adicionais.Other management and monitoring tools may require rules to open additional ports.

Se estiver a utilizar o ExpressRoute para fornecer conectividade entre o datacenter no local e o Azure, utilize o Toolkit de Conectividade do Azure (AzureCT) para monitorizar e resolver problemas de ligação.If you're using ExpressRoute to provide the connectivity between your on-premises datacenter and Azure, use the Azure Connectivity Toolkit (AzureCT) to monitor and troubleshoot connection issues.

Pode encontrar informações adicionais que visam especificamente a monitorização e a gestão de ligações ExpressRoute e VPN nos artigos Implementar uma arquitetura de rede híbrida com o Azure e a VPN no local e Implementar uma arquitetura de rede híbrida com o Azure ExpressRoute.You can find additional information specifically aimed at monitoring and managing VPN and ExpressRoute connections in the articles Implementing a hybrid network architecture with Azure and on-premises VPN and Implementing a hybrid network architecture with Azure ExpressRoute.

Considerações de segurançaSecurity considerations

Esta arquitetura de referência implementa vários níveis de segurança.This reference architecture implements multiple levels of security.

Encaminhar todos os pedidos de utilizador no local através da NVARouting all on-premises user requests through the NVA

A UDR na sub-rede de gateway bloqueia todos os pedidos de utilizador que não tenham sido recebidos no local.The UDR in the gateway subnet blocks all user requests other than those received from on-premises. A UDR transmite os pedidos permitidos para as NVAs na sub-rede de perímetro privada e estes pedidos serão transmitidos para a aplicação se forem permitidos pelas regras da NVA.The UDR passes allowed requests to the NVAs in the private DMZ subnet, and these requests are passed on to the application if they are allowed by the NVA rules. Pode adicionar outras rotas ao UDR, mas garanta que não ignoram inadvertidamente as NVAs nem bloqueiam o tráfego administrativo que se destina à sub-rede de gestão.You can add other routes to the UDR, but make sure they don't inadvertently bypass the NVAs or block administrative traffic intended for the management subnet.

O balanceador de carga à frente das NVAs também atua como um dispositivo de segurança, ao ignorar o tráfego nas portas que não estão abertas nas regras de balanceamento de carga.The load balancer in front of the NVAs also acts as a security device by ignoring traffic on ports that are not open in the load balancing rules. Os balanceadores de carga na arquitetura de referência apenas escutam pedidos HTTP na porta 80 e pedidos HTTPS na porta 443.The load balancers in the reference architecture only listen for HTTP requests on port 80 and HTTPS requests on port 443. Documente quaisquer regras adicionais que adicionar aos balanceadores de carga e monitorize o tráfego para garantir que não existem problemas de segurança.Document any additional rules that you add to the load balancers, and monitor traffic to ensure there are no security issues.

Utilize os NSGs para bloquear/transmitir o tráfego entre as camadas da aplicaçãoUsing NSGs to block/pass traffic between application tiers

O tráfego entre as camadas está restringido através dos NSGs.Traffic between tiers is restricted by using NSGs. A camada Business bloqueia todo o tráfego que não tem origem na camada Web e a camada de dados bloqueia todo o tráfego que não tem origem na camada Business.The business tier blocks all traffic that doesn't originate in the web tier, and the data tier blocks all traffic that doesn't originate in the business tier. Se tiver um requisito para expandir as regras dos NSGs para permitir um acesso mais abrangente a estas camadas, pondere estes requisitos relativamente aos riscos de segurança.If you have a requirement to expand the NSG rules to allow broader access to these tiers, weigh these requirements against the security risks. Cada caminho de entrada novo representa uma oportunidade para danos na aplicação ou fuga de dados acidental ou propositada.Each new inbound pathway represents an opportunity for accidental or purposeful data leakage or application damage.

Acesso ao DevOpsDevOps access

Utilize o RBAC para restringir as operações que o DevOps pode realizar em cada camada.Use RBAC to restrict the operations that DevOps can perform on each tier. Ao conceder permissões, utilize o princípio do menor privilégio.When granting permissions, use the principle of least privilege. Registe todas as operações administrativas e realize auditorias regulares para garantir que as alterações de configuração foram planeadas.Log all administrative operations and perform regular audits to ensure any configuration changes were planned.

Implementar a soluçãoDeploy the solution

Uma implementação para uma arquitetura de referência que implementa estas recomendações está disponível no GitHub.A deployment for a reference architecture that implements these recommendations is available on GitHub.

Pré-requisitosPrerequisites

  1. Clone, copie ou transfira o ficheiro zip para o arquiteturas de referência repositório do GitHub.Clone, fork, or download the zip file for the reference architectures GitHub repository.

  2. Instale CLI 2.0 do Azure.Install Azure CLI 2.0.

  3. Instalar o blocos modulares do Azure pacote npm.Install the Azure building blocks npm package.

    npm install -g @mspnp/azure-building-blocks
    
  4. Num prompt de comando, de bash de linha de comandos, ou linha de comandos do PowerShell, início de sessão na conta do Azure da seguinte forma:From a command prompt, bash prompt, or PowerShell prompt, sign into your Azure account as follows:

    az login
    

Implementar recursosDeploy resources

  1. Navegue para o /dmz/secure-vnet-hybrid pasta do repositório de GitHub de arquiteturas de referência.Navigate to the /dmz/secure-vnet-hybrid folder of the reference architectures GitHub repository.

  2. Execute o seguinte comando:Run the following command:

    azbb -s <subscription_id> -g <resource_group_name> -l <region> -p onprem.json --deploy
    
  3. Execute o seguinte comando:Run the following command:

    azbb -s <subscription_id> -g <resource_group_name> -l <region> -p secure-vnet-hybrid.json --deploy
    

Ligar a aplicações no local e gateways do AzureConnect the on-premises and Azure gateways

Neste passo, irá ligar os dois gateways de rede local.In this step, you will connect the two local network gateways.

  1. No Portal do Azure, navegue para o grupo de recursos que criou.In the Azure Portal, navigate to the resource group that you created.

  2. Localizar o recurso com o nome ra-vpn-vgw-pip e copie o endereço IP mostrado na descrição geral painel.Find the resource named ra-vpn-vgw-pip and copy the IP address shown in the Overview blade.

  3. Localizar o recurso com o nome onprem-vpn-lgw.Find the resource named onprem-vpn-lgw.

  4. Clique nas configuração painel.Click the Configuration blade. Sob endereço IP, cole o endereço IP do passo 2.Under IP address, paste in the IP address from step 2.

    Captura de ecrã do campo de endereço IP

  5. Clique em guardar e aguarde pela conclusão da operação.Click Save and wait for the operation to complete. Pode demorar cerca de 5 minutos.It can take about 5 minutes.

  6. Localizar o recurso com o nome onprem-vpn-gateway1-pip.Find the resource named onprem-vpn-gateway1-pip. Copie o endereço IP mostrado na descrição geral painel.Copy the IP address shown in the Overview blade.

  7. Localizar o recurso com o nome ra-vpn-lgw.Find the resource named ra-vpn-lgw.

  8. Clique nas configuração painel.Click the Configuration blade. Sob endereço IP, cole o endereço IP do passo 6.Under IP address, paste in the IP address from step 6.

  9. Clique em guardar e aguarde pela conclusão da operação.Click Save and wait for the operation to complete.

  10. Para verificar a ligação, vá para o ligações painel para cada gateway.To verify the connection, go to the Connections blade for each gateway. O estado deve ser ligado.The status should be Connected.

Certifique-se de que o tráfego de rede atinge a camada webVerify that network traffic reaches the web tier

  1. No Portal do Azure, navegue para o grupo de recursos que criou.In the Azure Portal, navigate to the resource group that you created.

  2. Localizar o recurso com o nome int-dmz-lb, que é o Balanceador de carga à frente da rede de Perímetro privada.Find the resource named int-dmz-lb, which is the load balancer in front of the private DMZ. Copie o endereço IP privado a partir da descrição geral painel.Copy the private IP address from the Overview blade.

  3. Localize a VM com o nome jb-vm1.Find the VM named jb-vm1. Clique em Connect e utilizar o ambiente de trabalho remoto para ligar à VM.Click Connect and use Remote Desktop to connect to the VM. O nome de utilizador e palavra-passe são especificados no ficheiro onprem.json.The user name and password are specified in the onprem.json file.

  4. A partir da sessão de ambiente de trabalho remoto, abra um browser e navegue para o endereço IP do passo 2.From the Remote Desktop Session, open a web browser and navigate to the IP address from step 2. Deverá ver a home page do padrão Apache2 server.You should see the default Apache2 server home page.

Passos SeguintesNext steps